MQTT安全大规模测量研究
发布时间:2022-02-15 07:00
消息队列遥测传输协议(MQTT)是物联网中广泛使用的一个轻量级通信协议。通过对全国范围内MQTT协议部署情况进行测量,发现了27949个暴露在公网上的MQTT服务,其中超过80%的服务器使用明文传输数据,57%的MQTT服务器完全没有进行客户端身份认证。即使有的服务器使用了支持认证和加密的TLS协议,其证书部署情况也十分糟糕,仅有20.94%的证书可以通过可信证书的验证流程。文章分析了MQTT服务器容易遭受的隐私窃取、中间人攻击、设备远程篡改等安全威胁,提出了关于MQTT服务器的防御方案及下一步工作。
【文章来源】:信息网络安全. 2020,20(09)北大核心CSCD
【文章页数】:5 页
【部分图文】:
MQTT消息模型和工作流程
部分MQTT服务器端软件支持使用主题“$SYS/”来获取服务器端软件信息。通过订阅该主题,共有5818台服务器返回了软件型号、版本信息。由于服务器端软件类型众多,且消息格式不同,因此只对4款已知类型的服务器端软件进行了统计,分别为mosquitto[3]、EMQ[4]、VerneMQ[5]以及mosca[6],结果如图2所示。由图2可以看出,在5818条返回结果中,使用mosquitto作为服务器端软件的MQTT服务器有4880个,占总数的84%;使用EMQ的有516个,占总数的9%;另外两种软件数量极少。其他软件暂时无法判断类型和版本。
由于mosquitto使用量非常大,因此对mosquitto的版本进行了进一步统计,结果如图3所示。由图3可以看到,1.4.x版本的mosquitto使用最为广泛,占总数的68%。在CVE平台[7]上查找目前已被披露的mosquitto漏洞,并对漏洞影响的软件版本进行统计(主要统计了1.4.x、1.5.x以及1.6.x版本),结果如表2所示。
本文编号:3626150
【文章来源】:信息网络安全. 2020,20(09)北大核心CSCD
【文章页数】:5 页
【部分图文】:
MQTT消息模型和工作流程
部分MQTT服务器端软件支持使用主题“$SYS/”来获取服务器端软件信息。通过订阅该主题,共有5818台服务器返回了软件型号、版本信息。由于服务器端软件类型众多,且消息格式不同,因此只对4款已知类型的服务器端软件进行了统计,分别为mosquitto[3]、EMQ[4]、VerneMQ[5]以及mosca[6],结果如图2所示。由图2可以看出,在5818条返回结果中,使用mosquitto作为服务器端软件的MQTT服务器有4880个,占总数的84%;使用EMQ的有516个,占总数的9%;另外两种软件数量极少。其他软件暂时无法判断类型和版本。
由于mosquitto使用量非常大,因此对mosquitto的版本进行了进一步统计,结果如图3所示。由图3可以看到,1.4.x版本的mosquitto使用最为广泛,占总数的68%。在CVE平台[7]上查找目前已被披露的mosquitto漏洞,并对漏洞影响的软件版本进行统计(主要统计了1.4.x、1.5.x以及1.6.x版本),结果如表2所示。
本文编号:3626150
本文链接:https://www.wllwen.com/kejilunwen/xinxigongchenglunwen/3626150.html
